Fórum Root.cz
Hlavní témata => Windows a jiné systémy => Téma založeno: NewRet 27. 03. 2024, 20:00:58
-
Ahoj,
už pár dní se peru s problémem a to Wireguard server na windows serveru.
řeším takový zapeklitý problém a to s routingem.
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32
Ze serveru windows přes konzoli se pingnu na 10.10.10.2 i 10.10.10.3 (oba klienti v pořádku)
Ale už nedokážu z Clienta1 pingnout na Clienta2.
Můžete mi poradit co dělám špatně?
route na serveru mám nastaveno na 0.0.0.0/0 a na obou klientech mám Allowed Adddress 10.10.10.0/24
Děkuji za každou radu.
Tabulka route na serveru:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 On-link 10.10.10.1 19998
10.10.10.0 255.255.255.0 On-link 10.10.10.1 10255
10.10.10.1 255.255.255.255 On-link 10.10.10.1 10255
10.10.10.2 255.255.255.255 On-link 10.10.10.1 9999
10.10.10.3 255.255.255.255 On-link 10.10.10.1 9999
-
Mam dojem ze pro Allowed Address potrebujes adresu serveru tedy 10.10.10.1/24 nikoliv 10.10.10.0/24
-
Kdyz jsme u tech dojmu, tak ten muj je, ze bych si jako prvni zkontroloval, zda je na tom WinServeru je zapnuty packet forwarding.
-
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32
No správně má být:
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/24
Client2 wg ip: 10.10.10.3/24
-
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/32
Client2 wg ip: 10.10.10.3/32
No správně má být:
Server wg ip: 10.10.10.1/24
Client1 wg ip: 10.10.10.2/24
Client2 wg ip: 10.10.10.3/24
Nerikam, ze to mam dobre, ale kouknul jsem na jednom klientovi do konfiguracniho souboru a v pripade jednoho profilu mam adresu /32 a u druheho /24. Funguje oboje.
Nerikam,ze to ma nejak podrobne nastudovane, ale muj dojem je:
- wireguard sifruje (atp.) komunikaci mezi klienty, ale packety neforwarduje, to dela OS,
- Windows by default neforwarduje, je to potreba povolit.
Nejlogictejsi by samozrejme bylo, kdyby tazatel prilozil konfiguracni soubory a vypis routing table ze vsech tri stroju.
-
Nerikam, ze to mam dobre, ...
Protoze ve skutecnosti, je to v tyhle variante jedno.
/24 = na stejnem iface jsou naprimo dostupni i dalsi = poslou se tam pakety jim urcene. /32 = sem tu sam ... ale defaul routa miri na iface ... tudiz je jen rozdil v tom, ktery radek z routovaci tabulky se uplatni.
32 se bude pouzivat IMO castejs, proto abys eliminoval broadcasty a dalsi podobny veci.
Mimochodem, pokud si chces usetrit problemy, dela se to tak, ze pouzijes ipv6 only komunikaci (klidne uvnitr ipv4, kdyz to jinak nejde), protoze se tak vyhnes neresitelnym kolizim s okolnima sitema.
Jup a i widle umi ipsec nativne. Jen je treba trochu pocist(nikoli u M$, tam se nic nedovis) dostatecna hladina alkoholu v krvi (bez toho se ani nepokousej) a pak se to da s pomoci powershellu rozjet.
-
Kdyz jsme u tech dojmu, tak ten muj je, ze bych si jako prvni zkontroloval, zda je na tom WinServeru je zapnuty packet forwarding.
Děkuji, bylo to tím, že nemám povolený forward. Kdyby někdo narazil na tuto konverzaci tak pak stačí jít do registru na WIN. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters a změnit nebo založit IPEnableRouter = 1
-
Děkuji, bylo to tím, že nemám povolený forward. Kdyby někdo narazil na tuto konverzaci tak pak stačí jít do registru na WIN. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters a změnit nebo založit IPEnableRouter = 1
A nebo prostě povolit systémovou službu „Routing and Remote Access“ přes services.msc